-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Miszel03
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
-
Wyniki z MBAM to "witaminki" adware / PUP. Do kasacji. W raportach brak oznak infekcji, w spoilerze działania poboczne. Temat przenoszę do działu Windows 10.
-
W raportach widać elementy adware / PUP. Jest również znany Ci już wpis uruchamiający zodiacgameinfo. Widzę tutaj również szczątki po oprogramowaniu SpyHunter, które nie cieszy się dobrą opinią (patrz w spoiler). Jeśli Ty chcesz je usunąć to zastosuj SpyHunterCleaner. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-985698470-1170973968-2176422106-1000\...\Run: [AAA] => explorer.exe hxxp://kb-ribaki.org GroupPolicy: Ograniczenia S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\WINDOWS\TEMP\GPUZ.sys [X] R4 IOMap; \??\C:\WINDOWS\system32\drivers\IOMap64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] U3 uxtyapow; \??\C:\Users\AAA\AppData\Local\Temp\uxtyapow.sys [X] Task: {04C7EAE8-E651-4E85-BB8F-57F5AA87FE1A} - \AutoPico Daily Restart -> Brak pliku Task: {D2626EE1-A826-45C5-BE62-9194A309CD48} - System32\Tasks\AAA => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v AAA /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Small Business Advantage\Intel® Small Business Advantage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Ad. 1 Widzę, że przeprowadziłeś tylko skanowanie w AdwCleaner, a miałeś również wykonać dezynfekcję (patrz jeszcze raz pkt. 1 mojego ostatniego postu). Wykonaj to i dostarcz raport. Po tej dezynfekcji dostarcz nowy raport Addition. Ad. 2 OK. Możesz zacząć ostrożnie* korzystać z płatności online na tym urządzeniu. *za każdym razem sprawdzasz numer konta i kwotę, jeśli cokolwiek się nie zgadza to wracasz do nas.
-
W takim razie wywalam te serwery proxy. Poprawki: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} ProxyServer: [s-1-5-21-721309439-3976775549-3943258617-500] => http=127.0.0.1:8080;https=127.0.0.1:8080 RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz już dostarczać żadnych raportów, podsumuj obecną sytuację.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
OK, ale czekam jeszcze na odpowiedz dot. rosyjskich adresów na routerze. Idziemy dalej: Powtórz operację z AdwCleaner, ale po opcji Skanuj zastosuj opcję Oczyść. Dostarcz raport z powyższego działania i zrób nowy zestaw logów FRST. -
W HitmanPro usuń wszystkie detekcje z sekcji Cokkies oraz Potential Unwanted Programs, czyli zostawiasz tylko sekcje Suspicious Files. Komentując resztę to wygląda to już w porządku, prócz siedzącej dalej (usuwanie powiodło się, ale nie widać efektów) szkodliwej mapy domen, w przeglądarce IE. 1. Pobierz AdwCleaner uruchom go i kliknij szukaj, a gdy uaktywni się przycisk Usuń rozwiń pasek Opcje i zaznacz Resetuj zasady IE, po czym kliknij Oczyść. Dostarcz raport z działania AdwCleanera (znajduję się w lokalizacji C:\AdwCleaner) oraz zrób nowe raport FRST (bez Shortcut). 2. Wykonaj test na obecność szkodnika VbKlip / Banatrix. Otwórz Notatnik i przyklej do niego poniższy 26 cyfrowy przykład numeru konta. 11101010101010101010101010 Sprawdź czy nie został podmieniony na inny. Poinformuj mnie o wyniku testu.
-
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
Na pasku narzędzi wybierz Plik, a z niego pozycję Odinstaluj. Po tym pobierz narzędzie na nowo i wykonaj czynności z pkt. 3 (p.s ma być Skanuj, po prostu odnoszę się do starego nazewnictwa opcji w tym programie). Oczywiście, po tym przechodzisz do następnych punktów. -
Infekcja chińskimi, szkodliwymi programami.
Miszel03 odpowiedział(a) na Petraka temat w Dział pomocy doraźnej
W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne |(są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przypadkiem nie odtworzyć szkodnika z kopii) - KLIK / KLIK. -
W systemie niewątpliwie widać infekcje, które wydają się łatwe do wyleczenia. Komentując zaś wynik z MBAM to praktycznie nic nie wykryto, jakieś "witaminki" z pamięci podręcznej związane z PUP.Optional.Yontoo. Oprócz oczywistych detekcji, to wygląda mi na infekcje: Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () ponieważ data utworzenia, sama nazwa, możliwość otworzenia pliku w przeglądarce, rozszerzenia oraz występowanie w tym miejscu w raportach wygląda bardzo podejrzanie. Jeśli Ty byś to kojarzył to mi powiedz i nie wykonuj poniższych zadań. 1. Spróbuj uruchomić ten deinstalator: C:\Program Files\easyMule\Uninstall.exe 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-365035492-1695249228-1794944439-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 IFEO\addrbook.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brctrcen.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brinstck.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brmfcwnd.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brolink0.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\brscutil.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\driverbooster.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\pcfxset.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmnetcfg.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmplayer.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" IFEO\vmware.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2013\TUAutoReactivator32.exe" Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ClWindows Media Centerert.vbs [2017-01-02] () InternetURL: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Center.URL -> URL: file:///C:/Users/Tommy/AppData/Roaming/Climfhkkt.exe Startup: C:\Users\Tommy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CWindows Media Centerts.js [2017-01-02] () GroupPolicy\User: Restriction ? GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1006\User: Restriction GroupPolicyUsers\S-1-5-21-365035492-1695249228-1794944439-1005\User: Restriction HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.findeer.com SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2013-04-10] S1 A2DDA; \??\C:\EEK\RUN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\EEK\Run\cleanhlp32.sys [X] S3 IpInIp; system32\DRIVERS\ipinip.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] Task: {6B40D41A-9031-4040-BADE-7D61D426ABDA} - System32\Tasks\{4BF10F89-DE1C-4FC6-A245-D6398973D473} => pcalua.exe -a "C:\Program Files\easyMule\Uninstall.exe" -d C:\Users\Tommy\AppData\Local\Temp\easymule AlternateDataStreams: C:\ProgramData\Temp:2B11E0DF [236] AlternateDataStreams: C:\ProgramData\Temp:A73B0434 [109] AlternateDataStreams: C:\ProgramData\Temp:CB0AACC9 [124] C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.coupontime00.coupontime.co_0.localstorage-journal EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wyczyść przeglądarkę FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Przeskanuj system za pomocą programu HitmanPro. Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
-
Znalazł je w kwarantannie KVRT, więc były już unieszkodliwione.
-
Errory w RegSvr32 przy starcie windows
Miszel03 odpowiedział(a) na OverTheCuckoosNest temat w Dział pomocy doraźnej
Malwarebytes posprzątał już większość, natomiast nadal siedzi podszywka przeglądarki Google Chrome. Liczbą w ogóle się nie przejmuj, bo MBAM znajdując folder infekcji liczy każdy plik z niej jako infekcja to pomyśl co by było gdy są np. zarażone ciasteczka. A jeśli chodzi o sposób zakażenia to ktoś coś musiał zrobić (choćby pobrać coś z dobrych programów). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: S2 Reopithejatain; C:\Program Files (x86)\Rotsychwopy\Atunoentrpr.dll [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] RemoveDirectory: C:\Program Files (x86)\Coldone HKU\S-1-5-21-2482533737-4085879092-1565963746-1000\...\ChromeHTML: -> "C:\Program Files (x86)\Coldone\Application\chrome.exe" "%1" C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Scrop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw przeglądarkę Google Chrome jako domyślną 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). coldone Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Infekcja chińskimi, szkodliwymi programami.
Miszel03 odpowiedział(a) na Petraka temat w Dział pomocy doraźnej
Jak oceniasz obecną sytuację? Czy problem ustąpił? -
Linki do folderów zamiast folderów na pendrive
Miszel03 odpowiedział(a) na Alphaobik temat w Dział pomocy doraźnej
OK. -
Linki do folderów zamiast folderów na pendrive
Miszel03 odpowiedział(a) na Alphaobik temat w Dział pomocy doraźnej
Tak, komputer numer 3 jest czysty, a skoro piszesz, że na wszystkich komputer dezynfekcja się udała, to będziemy kończyć. Na wszystkich komputerach Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK. Wyczyść również punkty przywracania systemu (z nich można przez przypadek otworzyć szkodnika) - KLIK. -
błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą
Miszel03 odpowiedział(a) na gosha temat w Dział pomocy doraźnej
W raportach widoczne adware i własnie ono odpowiada za problemy z przeglądarką Google Chrome. Powiedz mi tylko jeszcze: czy Rosyjskie adresy ustawione na routerze są Twoim celowym ustawieniem? 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku S4 ProntSpooler; C:\Users\Gosia\AppData\Local\Apps\2.0\abril.exe [134656 2016-10-23] () [brak podpisu cyfrowego] R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) U0 aswVmm; Brak ImagePath S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S2 ComputerZLock; \??\C:\Program Files (x86)\LdsLite\ComputerZLock_x64.sys [X] S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Gosia\AppData\Local\Mozilla C:\Users\Gosia\AppData\Roaming\Mozilla C:\Users\Gosia\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Infekcja chińskimi, szkodliwymi programami.
Miszel03 odpowiedział(a) na Petraka temat w Dział pomocy doraźnej
Wszystkie wyniki z Malwarebytes do kasacji, choć ten poniższy element jest związany z lewym aktywatorem do pakietu Microsoft Word, a został oznaczony jako potworna infekcja szyfrująca dane Ransomware.Cerber - KLIK. Ransom.Cerber, C:\PROGRAM FILES (X86)\KMSPICO 10.0.6\01CBCAA0C4A1AB8923145543E2ED625E.EXE, Brak akcji, [10], [357273],1.0.948 Zapomniałem wcześniej się zapytać: czy są pliki z rozszerzeniem .cerber? Jeśli tak to nie jest ciekawie. CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL" To nadal siedzi, więc prawdopodobnie zostały zmodyfikowane preferencje Google Chrome. Szybciej będzie to przeinstalować niż czyścić ręcznie. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK Poniższy element to nowoczesne adware modyfikujące usługę Themes, ale to tylko szczątka. Czy działa Ci kompozycja Aero? Adware.Elex.SHHKRST, HKLM\SOFTWARE\CLASSES\CLSID\{5F51FFFE-7463-4220-B711-E5B9ACB8EDFE}, Brak akcji, [2215], [357968],1.0.948 -
Infekcja chińskimi, szkodliwymi programami.
Miszel03 odpowiedział(a) na Petraka temat w Dział pomocy doraźnej
A gdzie raport z Malwarebytes? -
Przepraszam za późna odpowiedź. W raportach brak oznak infekcji, w spoilerze działania poboczne, kosmetyczne. W użytkowej przez Ciebie przeglądarce Opera nie widzę zainstalowanego żadnego blokera reklam, a bez niego to kompletnie nic dziwnego, że wyświetlają się takie reklamy. Polecam dodatek uBlock.
-
Infekcja chińskimi, szkodliwymi programami.
Miszel03 odpowiedział(a) na Petraka temat w Dział pomocy doraźnej
Rasnomware to rodzaj infekcji szyfrującej dane, więc pewnie byś to zauważył. W systemie widoczne infekcje, od razu przechodzimy do działań: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-4037366159-1690126974-2979737429-1001\...\Run: [udvmedia] => regsvr32.exe C:\Users\Piotrek\AppData\Local\Udvmedia\sgjdatcr.dll HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\hsch11h1: C:\Program Files (x86)\Sizayarigily Reports\local64spl.dll [292352 2017-01-05] () C:\Program Files (x86)\Sizayarigily Reports ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku ShellExecuteHooks: Brak nazwy - {05637422-CCFF-11E6-8821-64006A5CFC23} - C:\Users\Piotrek\AppData\Roaming\Shhoward\Arinuch.dll -> Brak pliku CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL" S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {0FE1ED1B-69E2-4468-B810-149DD172CEBF} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku Task: {126C4780-EBC7-49B1-893D-1742D5D38AB4} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku Task: {250DAB8A-C4AB-4637-AF79-5E31F0742D58} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku Task: {29708982-A2F0-4510-AB6A-D38049B4160D} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku Task: {2EE10851-C5AF-4494-A363-BFF8352AB54D} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku Task: {3727C66C-4574-4F83-A29E-04D7E6FF3DCA} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku Task: {3B7627C6-96FD-4C34-BC58-E700C27DB5EA} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku Task: {475E0A49-71E2-4C83-B8D3-DAC8ED30E79E} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku Task: {478CC213-402C-4F66-B8C3-DEA3105E0BAF} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku Task: {5149EDB9-EC09-488F-8F75-4372BAA9EC1E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku Task: {5AD52747-84FF-43D1-A67A-717F19E378E7} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku Task: {65FC7088-6D38-436A-8DC9-21B33A18DDA8} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku Task: {68D333FA-5809-4857-98CD-1DCEAC974A0B} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku Task: {958537A2-C418-4719-A22B-27CE2E5B8BA4} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku Task: {B3D79C6E-7C69-46BC-BBD1-2AB8AE1C127B} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku Task: {CBFD96B7-13EA-4093-A432-60614D352D1D} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku Task: {CC333C6D-2E01-4286-A5E0-7E44E4752588} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku Task: {CCF69E08-EB3D-4F38-94ED-2957C5B51ADE} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku Task: {DAA5F001-C040-4061-8FC1-289F8AC8E86E} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku Task: {E909D3B5-8E2A-4EC0-94E3-90890C904D7E} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku Task: {F178738A-A064-47C6-A983-960398FEB13C} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ Hosts: EmptyTemp: 2. Przeskanuj całościowo system za pomocą programu Malwarebytes AntiMalware (masz go już zainstalowanego na dysku). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
Właściwie to wszystko masz podane jak na tacy - Lista darmowych i komercyjnych programów zabezpieczających.
-
ESET wykrywa BOTNET'a. Proszę o jak najszybszą pomoc
Miszel03 odpowiedział(a) na njczyziu temat w Dział pomocy doraźnej
W raportach nie widzę infekcji, ale w takim przypadku to nic dziwnego, że nie widzę. Sprawdziłem te dwa adresy, z którymi łączył się Twój system. Jeden jest mi nieznany (KLIK), zaś drugi wygląda na usługę CloudFlare, czyli nieszkodliwą (KLIK). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoWinKeys] 1 S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {9C65CD00-93CB-41E1-BB75-C3593E50D123} - \Program aktualizacji online firmy InstallShield Software. -> Brak pliku C:\Users\Kamas\Desktop\Zapasowy (F).lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeprowadź skanowanie systemu za pomocą programu HitmanPro (silnik Kasperskiego i BitDefendera). Jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. -
W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja odpadkowych wpisów adware oraz programów. Temat przenoszę do działu Windows 8.
-
Wyniki zweryfikowane. W AdwCleaner przeprowadź jeszcze raz skanowanie z opcji Szukaj, ale po niej użyj opcji Oczyść. Dostarcz raport z tego działania oraz nowe raporty FRST, z tym, że użyj najnowszej wersji: KLIK. P.S: Nie odpowiedziałeś na moje pytanie: